Firefox veiliger maken: geen omleidingen meer
Reclamebureaus kunnen gebruikers bij het rondstruinen op internet op allerlei manieren tracken – bijvoorbeeld door parameters die ze aan url’s toevoegen of door gebruikers via omleidingen naar het doel te leiden. De twee add-ons Neat URL en Skip Redirect verhinderen die werkwijze.
Url’s bevatten vaak parameters die vanuit de gebruiker gezien een privacy- en zelfs een veiligheidsrisico kunnen zijn. Het kan voor websiteexploitanten interessant zijn om te achterhalen van welke bronnen hun bezoekers afkomen of door welke marketingcampagne ze zijn verleid de website te bezoeken.
Voor een privacy-bewuste gebruiker is het meesturen van dergelijke tracking-kenmerken echter een onwenselijke manier om extra informatie mee te sturen, omdat die tracking-parameters het mogelijk
maken voor datareuzen als Google om allerlei extra gegevens te verzamelen die voor het gebruik onnodig zijn.
Welke informatie er in een url kan zitten, is te zien in de afbeelding op de volgende pagina. Daarbij is voor dit artikel met name het query-deel van de url van belang. Een query kan uit een of meerdere parameters bestaan. Vaak wordt een query ook als een query-string aangegeven. Voorbeeld: https://www.google.nl/search?q=c’t
De query-string is in dat geval q=c’t. De parameter
q bevat de waarde c’t. Een dergelijke query-string wordt ingeleid door een vraagteken. De webserver of de onderliggende webapplicatie analyseert die string. In dit voorbeeld wordt de parameter q verwerkt, wat neerkomt op een zoektocht naar websites die het woord of de waarde c’t bevatten. Dit is dus een ongevaarlijk voorbeeld van het gebruik van een query-string – al weet Google nu natuurlijk wel dat je in c’t geïnteresseerd bent.
Vaak bevatten url’s echter ook parameters waarmee je als gebruiker getrackt kunt worden of waarmee je activiteiten te volgen zijn. Een ander voorbeeld maakt dat duidelijk: www.news-site.com/scan.php ?page=news_item &px=privacy_nightmare &utm_source=twitter &utm_medium=tweet
De dikgedrukte regels zijn de tracking-parameters, die bijvoorbeeld Google Analytics van data voorzien. Een exploitant kan daarmee bijvoorbeeld vaststellen waar de (meeste) interesse voor zijn website vandaan komt en zijn exposure op Twitter in dit geval uitbreiden.
Zonder meer gegevens is die informatie echter nog niet aan een bepaalde persoon te koppelen. Maar als een bezoeker bijvoorbeeld inlogt, kan de informatie ‘gebruikt Twitter’ wel aan zijn profiel worden toegevoegd. Met behulp van zogeheten sessieparameters kan de website-exploitant daarnaast precies de weg reconstrueren die een bezoeker op zijn website aflegt. Met Neat URL kun je dergelijke tracking tegengaan.
INSTALLEREN
De add-on staat onder de naam ‘Neat URL (door Geoffrey De Belie)’ bij Mozilla – zie de link op de laatste pagina van dit artikel. Je kunt zien dat hij geïnstalleerd is aan het vraagtekenpictogram rechtsboven naast de adresbalk. De add-on werkt op dat moment met zijn standaardinstellingen en filtert bekende trackingparameters uit de url’s. Bij het voorbeeld hierboven wordt dan een deel van de query-string door Neat URL simpelweg verwijderd: www.news-site.com/scan.php?page=news_item &px=privacy_nightmare
De ontwikkelaar van Neat URL voegt er continu nieuwe parameters aan toe die voor tracking gebruikt worden. Bij een update van de add-on krijg je dan een bijgewerkte lijst met tracking-parameters die door de addon gefilterd worden. Als je de bestaande lijst wilt bekijken of uitbreiden, kun je dat doen door met de rechter muisknop te klikken op het vraagtekenpictogram en daar Preferences te selecteren. Bij ‘Geblokkeerde parameters’ kun je dan alle geblokkeerde dan wel gefilterde parameters binnen een query-string bekijken.
Neat URL biedt je bovendien de mogelijkheid zelf nieuwe tracking-parameters toe te voegen, die de addon dan vervolgens eruit filtert. De volgende regeldefinities zijn daarbij mogelijk.
• Voor elk domein: Neat URL verwijdert een parameter, bijvoorbeeld param_example, uit de url van elk domein. • Domeinspecifiek: voeg aan de parameter een @ gevolgd door een domeinnaam toe ( param_example@ server.com), dan filtert Neat URL die parameter er alleen voor dat betreffende domein uit.
• Domein inclusief subdomeinen: als de add-on ook de parameters van een subdomein eruit moet filteren, dan zet je eenvoudigweg een sterretje voor de domeinnaam ( param_example@*.server.com).
• Wildcards voor domeinen: voeg aan het eind van de parameter een sterretje achter de domeinnaam toe ( param_example@google.*), dan filtert Neat URL de parameter eruit bij alle domeinen die beginnen met de naam google.
• Uitzondering voor een domein: als Neat URL een globaal geldende parameter ( param_global) voor een specifiek domein er juist niet uit moet filteren, dan kun zoals in ! param_global@niethier.nl met een uitroepteken vooraan bepalen dat dit niet gebeurt. Ook vandaag de dag wordt gevoelige informatie zoals de gebruikersnaam en het wachtwoord soms nog als deel van een query-string naar een webapplicatie gestuurd – wat een vermijdbaar risico is. Dergelijke hiaten in de implementatie zijn ook door Neat URL niet op te lossen. Als je een dergelijke website ergens tegenkomt, kun je beter ergens anders gaan kijken.
EINDE WEGOMLEIDING
Url’s bevatten vaak ‘verborgen’ omleidingen. Zoekmachine-exploitanten zoals Google sturen de gebruikers niet rechtstreeks naar hun doel als ze op een resultaatlink klikken, maar eerst ergens anders heen. Ook sociale netwerken als Facebook maken daar veel gebruik van.